Mit <kes>+ lesen

Unter demselben Himmel : Hybrid IAM: On-Premises-, Cloud- und SaaS-Umgebungen vereinen

Der Weg in die Cloud ist für viele Funktionen in Unternehmen längst vollzogen oder auf der Agenda – das Identitätsmanagement muss diesen Weg mitgehen. Unsere Autoren empfehlen dazu einen hybriden Ansatz – und zwar nicht nur als Übergangserleichterung, sondern auch auf lange Sicht.

Identity- und Access-Management (IAM) in der Cloud ist ein rasant wachsender Trend, dem viele IT-Experten eine rosige Zukunft vorhersagen. Bis 2027 soll der Cloud-IAM-Markt Schätzungen zufolge schon mehr als 14 Milliarden US-Dollar wert sein [1]. Mehr als 80 % der globalen IT-Entscheidungsträger planen außerdem laut einer Forrester Studie [2], in den nächsten zwei Jahren cloudbasierte IAM-Initiativen einzuführen oder bestehende Projekte zu erweitern. Erkenntnisse aus der Studie deuten darauf hin, dass die Cloud-Akzeptanz in Organisationen generell zunimmt (vgl. Abb. 1). Investitionen und das Interesse an hybrider Cloud – also die Kombination aus On-Premises-, Public-Cloud- und Software-as-a-Service- (SaaS)-Umgebungen – sind aktuell besonders hoch.

Weltweit haben IT-Entscheider demnach erkannt, dass eine hybride Cloudstruktur der schnellste Weg zur Optimierung der IT sein kann, ohne geschäftskritische Anwendungen unterbrechen zu müssen. Mit der Ausweitung digitaler Ökosysteme und der Cloud-Einführung rücken allerdings zunehmend Themen wie siloartige Datenumgebungen und Security-Blind-Spots innerhalb der Cloud- und IAM-Strategien ins Bewusstsein der Sicherheitsexperten.

Herausforderungen

Aus der IAM-Perspektive ergeben sich die größten Herausforderungen in hybriden IT- und Cloud-Architekturen daraus, dass diese per Definition aus mehreren getrennten Umgebungen bestehen (siehe auch Abb. 2). In vielen Fällen bestehen IAM-Lösungen aus einer Kombination von selbstentwickelten sowie gleichermaßen veralteten und modernen eingekauften IAM-Systemen. Diese nicht-zusammenhängenden lokalen und cloudbasierten Systeme führen häufig zu isolierten und duplizierten Identitäten; das erschwert die Identifizierung und Überwachung von Benutzerzugriffen in der gesamten Organisation. Risikobehaftete Zugriffe sowie potenzielle Datenschutzverletzungen, mit möglicherweise einhergehenden Bußgeldern und Reputationsschäden für die betroffene Organisation, lassen sich in einer fragmentierten Architektur nur schwer erkennen. Die Beseitigung von Identitätssilos und Duplikaten in hybriden IT- und Cloud-Umgebungen ist sowohl für die Sicherheit als auch für eine positive Benutzererfahrung entscheidend.

Silos entstehen oft, weil verschiedene Abteilungen innerhalb einer Organisation unabhängig voneinander
neue digitale Dienste bereitstellen und so separate Datensätze für ein und denselben Nutzer anlegen. Was auf den ersten Blick nach einer guten und vor allem schnellen Lösung aussieht, entpuppt sich als Sackgasse: Der Nutzer leidet unter einem schlechten Erlebnis, da er sich mit unterschiedlichen Login-Vorgängen und Datensätzen konfrontiert sieht und Daten mehrfach aktualisiert werden müssen, weil sie sich in unterschiedlichen Systemen befinden.

Identitätssilos in einer fragmentierten Informationslandschaft

Führungskräfte versuchen zentralisierte IT-Lösungen regelmäßig zu umgehen, weil sie im Ramp-up kosten- und zeitintensiv sind. Im Laufe der Zeit entsteht durch das Aufstapeln verschiedener Systeme aber eine Vielzahl sogenannter Schatten-Identitäten – in alternativen Identitätssystemen, die außerhalb der Zuständigkeitsbereiche des IT-Teams eingesetzt werden. Ohne eine einheitliche Sicht auf die Kundendaten ist eine Organisation aber letztlich kaum wettbewerbsfähig und sogar verwundbar: Sie ist beispielweise nicht in der Lage, den Wünschen von Nutzern nach Opt-outs oder einem Antrag auf Auskunftserteilung gemäß der EU Datenschutzgrundverordnung (DSGVO) zeitnah nachzukommen. Das Recht auf Auskunft, Korrektur oder Löschung personenbezogener Daten eines Betroffenen lässt sich in solch einem Szenario nur schwerlich und mit viel Aufwand umsetzen.

Identitätssilos und eine fragmentierte Informationslandschaft gefährden aus Sicherheits- und Ressourcensicht generell Initiativen der digitalen Transformation: Organisationen mit vielen Identitätssilos haben Probleme dabei, mit neuer Technologie, regulatorischen Vorgaben und Sicherheitstrends sowie den damit zusammenhängenden Standards und Protokollen mitzuhalten – dazu gehören unter anderem OpenID Connect, OAuth 2.0 oder aktuelle Open-Banking-Standards wie PSD2 und auch die Umsetzung der DSGVO.

Mehrere nicht zusammenhängende IAM-Systeme haben aber nicht nur einen negativen Einfluss auf die Sicherheit, sondern bremsen auch die Innovationsgeschwindigkeit der Organisation aus.

Unternehmen verwenden heute meist eine hybride IT aus lokalen Anwendungen im eigenen Rechenzentrum gemischt mit Diensten aus der Cloud. Durch den Einsatz einer speziell für diese Anforderungen entwickelten umfassenden IAM-Plattform können Unternehmen einen nahtlosen Nutzerzugriff über alle Kanäle hinweg ermöglichen – unabhängig davon, ob sie Anwendungen On-Premises, in einer Private Cloud oder in einer oder mehreren Public Clouds betreiben. Eine hybride IAM-Plattform ersetzt dann verschiedene historisch gewachsene Punktlösungen und ist in der Lage, alle digitalen Identitäten in einer einzigen hybriden IT-Umgebung zu verwalten und abzusichern.

Transformations-Probleme

Obwohl die Transformation hin zu Cloud-Anwendungen Vorteile bietet, schafft sie gleichzeitig auch Probleme: Laut der erwähnten Forrester-Studie [2] berichten fast alle IT-Experten aus Unternehmen (98 %), dass sie mit IAM-Technologie aus der Cloud in der Vergangenheit Schwierigkeiten hatten. Darüber hinaus hat die Hälfte der befragten Organisationen wichtige Sicherheitsmaßnahmen, wie Multi-Factor-Authentication (MFA) oder passwortlose Logins nicht implementiert – obwohl diese das Risiko, Opfer eines Phishing-Angriffs zu werden, erheblich reduzieren.

Cloud-Computing als anhaltender Trend hat auch zu einer Vielfalt an IAM-Cloud-Angeboten auf dem Markt geführt – so ist für Organisationen oft schwer zu verstehen, wie der richtige Ansatz aussieht. Ein klar strukturiertes Vorgehen im Zuge einer IAM-Modernisierung ist essenziell! Hierzu gehört das Erstellen eines Anforderungsprofils für die gesamte Organisation an die neue IAM-Plattform. Die Umsetzung erfolgt in einzelnen Teilprojekten und nach Unternehmenspriorität.

Erfahrungen aus der Praxis zeigen, dass nur diejenigen IAM-Programme erfolgreich sind, die mit einem IAM-Assessment und einer strategischen Planungsphase beginnen, die beispielsweise ein Readiness-Assessment, eine Bewertung der bestehenden Cloud-Infrastruktur und eine High-Level-Migrationsplanung über verschiedene Regionen umfassen.

Zu den Herausforderungen, denen IT-Experten in der Transformation immer wieder begegnen, zählen auch Prozessprobleme: Die fehlende Flexibilität und Agilität bestehender IAM-Systeme, hybride Cloud-Umgebungen zu unterstützen, behindern, verteuern und verzögern die Einführung neuer Angebote. Andererseits wird die Transformation auch durch Probleme wie eine begrenzte IAM-Funktionalität, fehlende Produktskalierbarkeit und die Unfähigkeit, Identität und Zugriff über Anwendungen hinweg zu verwalten, behindert. Die Einführung eines hybriden IAM-Ansatzes unterstützt hingegen die digitale Transformation.

Abbildung 2

Abbildung 2: Drängendste Herausforderungen beim IAM in der Cloud laut Forrester-Studie „IAM For The Hybrid Enterprise“ [2]

Vorteile von Hybrid-IAM

Einer der drei großen Vorteile einer Hybrid-IAM-Architektur sind die Kosteneinsparungen: Mit einer einzigen Plattform erhalten Organisationen die Flexibilität, zu jedem Zeitpunkt zu bestimmen, wie viel der IAM-Infrastruktur „on Premises“ und wie viel in der Cloud gehostet wird. Das hat den Vorteil, dass Organisationen im eigenen Tempo bestimmen können, wie schnell sie in die Cloud wechseln. Die Kosten für Wartung und Migration sind planbar und transparent – unerwartete zusätzliche Kosten treten in den Hintergrund.

Auch die Nutzer profitieren von Hybrid IAM: Durch eine zentrale Verwaltung aller Identitäten in einer leistungsfähigen IAM-Lösung ergibt sich eine konsistente Benutzererfahrung, unabhängig davon, wo sich die Identität eines Benutzers (d. h. Kunde, Partner oder Mitarbeiter), eines Services oder einer Anwendung innerhalb der hybriden IT-Architektur befindet.

Allem voran erhöht eine hybride IAM-Plattform aber die Sicherheit: Die Authentifizierung wird durch das Hinzufügen von Benutzer- und Gerätekontext zusätzlich abgesichert. Die Möglichkeit, Transaktionen durch zusätzliche Faktoren (d.h. durch das Abfragen eines zusätzlichen Faktors) zu autorisieren, unterstützt ein hybrides IAM-Unternehmen bei der Einführung von Zero-Trust- und CARTA-Strategien (Continuous Adaptive Risk and Trust Assessment). Die adaptive Bewertung des Risikos eines Zugriffs oder des Vertrauens-Grads, das/der einer digitalen Identität gegenüber erbracht wird, ist dabei ein Schlüssel zum Erfolg.

Moderne Algorithmen und die Einbindung von zusätzlichen Signalen helfen, risikolose von risikobehafteten Zugriffe zu unterscheiden. Organisationen haben die Möglichkeit, zusätzliche Hürden in den Login-Prozess einzubauen: Diese werden nur situationsabhängig angewandt, sodass sich ein Benutzer beispielsweise beim erstmaligen Zugriff im Ausland noch mit einem zweiten Faktor ausweisen muss – oder bestimmte Zugriffe innerhalb der angebundenen Applikation eingeschränkt werden. Darüber hinaus lassen sich Identitäten zentralisieren, um Audits und Compliance durch ein vollständiges User-Lifecycle-Management zu verbessern.

Abbildung 3

Abbildung 3: Vorteile von Hybrid-IAM laut Forrester-Studie „IAM For The Hybrid Enterprise“ [2]

Fazit

Organisationen haben in vielen Fällen eine hybride IT, weil es wirtschaftlich sinnvoll oder rechtlich nicht möglich ist, alles in die Cloud zu verlagern. Außerdem ist es attraktiv, neue Lösungen als Service einzukaufen, anstatt sie selbst im Rechenzentrum zu betreiben. Hybrid-IT ist dabei in vielen Fällen ein langfristiger Zustand und keine kurzfristige Übergangsphase.

Die Rolle von hybriden IAM zur Unterstützung dieser hybriden Umgebung wird so zu einem zunehmend wichtigen Wettbewerbsvorteil: „Cloud only“-IAM-Lösungen verlagern die IAM-Kontrollebene komplett in die (Public) Cloud – ein Support von (oft unternehmenskritischen) Legacy-Anwendungen im Datacenter ist dann häufig nicht möglich; Gleiches gilt für Geschäftsprozesse und Anpassungen, die auf ihnen basieren.

Auch getrennte Cloud- und On-Premises-Lösungen tauchen in der Hybrid-Kategorie vermehrt auf: Die beiden Umgebungen basieren dabei aber auf vollkommen unterschiedlichen Anwendungen, die separat betrieben und gewartet werden müssen. Greifen Nutzer auf beides zu, entstehen Redundanzen, die zu zusätzlichem Aufwand in der Organisation führen. Eine umfassende, unternehmensweite IAM-Plattform, die für hybride IT-Umgebungen entwickelt wurde, vermeidet solche Nachteile und kommt sowohl der Sicherheit als auch der Nutzererfahrung zugute.

Gerhard Zehethofer ist Vice President IoT & Technology Partnerships bei ForgeRock. Dr. Heiko Klarl ist CMO der iC Consult Group.

Literatur

[1] Verified Market Reseach, Global Cloud IAM Market Size By Component, By Deployment Model, By Vertical, By Organization Size, By Geographic Scope And Forecast, Report ID 1670, Januar 2021, www.verifiedmarketresearch.com/product/global-cloud-iam-market-size-and-forecastto-2025 (kostenpflichtig)
[2] Forrester Consulting, IAM For The Hybrid Enterprise, Current Challenges And Strategies For Global Security Professionals, Custom Study Commissioned by Forgerock and Google Cloud, März 2021, kostenlos erhältlich via www.forgerock.com/thank-you/forrester-study-hybridcloud-iam (Registrierung erforderlich)

Diesen Beitrag teilen: